Защита персональных данных
Описание курса
На курсе рассматривается весь комплекс мероприятий по обеспечению правомерности и конфиденциальности обработки персональных данных с использованием правовых, организационных и технических мер, способы снижения рисков утечки персональных данных и наложения штрафных санкций со стороны государственных надзорных органов. На примерах разобраны действия операторов персональных данных в рамках трудовых отношений с собственным персоналом, гражданско-правовых отношений, связанных с передачей и предоставлением персональных данных, поручением их обработки иным лицам. Особое внимание на курсе уделяется практическим вопросам: разработке внутренних нормативных документов, формированию перечня персональных данных, определению актуальных типов угроз и уровней защищенности персональных данных, созданию модели угроз, реализации мер защиты, подготовке уведомлений в уполномоченный орган по защите прав субъектов персональных данных и др.
Целевая аудитория
Курс предназначен для:- Руководителей организаций и их структурных подразделений, в ведении которых находится организация обработки персональных данных и ее осуществление.
- Лиц, ответственные за организацию обработки персональных данных.
- Руководителей и специалистов, непосредственно отвечающих за обеспечение информационной безопасности предприятий, охрану конфиденциальности информации и реализующих мероприятия по технической защите конфиденциальной информации.
- Юристов предприятий-операторов персональных данных.
- Работников кадровых органов организаций и предприятий.
Минимальные требования
Общее представление о правовых, организационных и технических аспектах защиты сведений ограниченного доступа, основах законодательства в области защиты прав граждан и обеспечения безопасности.Содержание курса
Раздел 1. Введение. Персональные данные в организации (на предприятии)
- Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни.
- Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных.
- Персональные данные в системе документооборота предприятия. Персональные данные в автоматизированных системах и приложениях.
- Значимые утечки персональных данных в России и примеры неправомерного использования персональных данных.
Раздел 2. Основные понятия Федерального закона "О персональных данных"
- Содержание категории "персональные данные".
- Область применения закона. Ограничения.
- Обработка персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Принципы обработки персональных данных.
- Условия обработки персональных данных. Согласие субъекта. Согласие в письменной форме.
- Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные.
- Специальные категории персональных данных и особенности их обработки. Данные о судимости.
- Биометрические персональные данные.
- Трансграничная передача персональных данных. Страны, обеспечивающие адекватную защиту прав субъектов персональных данных. Локализация персональных данных российских граждан после 1 сентября 2015 года.
- Особенности обработки персональных данных при предоставлении государственных и муниципальных услуг.
- Права субъектов персональных данных и их соблюдение при обработке.
- Обязанности оператора персональных данных.
- Уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
- Ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения.
Раздел 3. Работа с персональными данными на предприятии (в организации)
- Мероприятия по защите сведений ограниченного доступа. Практические шаги по приведению порядка обработки в соответствие с требованиями законодательства.
- Ограничение доступа к персональным данным. Учет лиц, допущенных к персональным данным. Определение порядка обращения с такими сведениями, контроля за его соблюдением.
- Локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, их содержание, порядок разработки и ввода в действие.
- Особенности обработки персональных данных, осуществляемой без использования средств автоматизации.
- Подготовка уведомлений об обработке персональных данных в уполномоченный орган.
Раздел 4. Техническая защита персональных данных в информационных системах
- Требования Федерального закона "О персональных данных" и Постановления Правительства РФ 2012 г. № 1119 к обеспечению безопасности персональных данных.
- Уровни защищенности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) в зависимости от угроз безопасности этим данным, категорий персональных данных и количества субъектов, чьи данные обрабатываются в ИСПДн.
- Построение системы защиты персональных данных. Положения приказов ФСТЭК России 2013 г. № 21 и ФСБ России 2014 г. № 378, определение базовых, адаптивных и компенсирующих мер защиты.
Раздел 5. Биометрическая идентификация
- Цель создания Единой биометрической системы, полномочия и обязанности участников системы биометрической идентификации.
- Защита данных при проведении первичной и удаленной биометрической идентификации; контроль и надзор за соблюдением установленных требований.
- Согласие субъекта на обработку персональных данных при проведении биометрической идентификации.
Раздел 6. Лицензирование деятельности по технической защите конфиденциальной информации
- Понятие технической защиты как лицензируемого вида деятельности.
- Лицензионные требования.
- Ответственность за незаконную деятельность в области защиты информации.
- Незаконное предпринимательство.
- Оценка и управление риском, связанным с отсутствием лицензии на техническую защиту конфиденциальной информации.
Раздел 7. Аутсорсинг обработки персональных данных и их технической защиты
- Требования, выдвигаемые законом к порядку обработки персональных данных внешней организацией, содержание договора на обработку персональных данных.
- Передача внешней организации функций технической защиты персональных данных.
- Передача внешней организации функций лица, ответственного за организацию обработки персональных данных
- Достоинства и недостатки аутсорсинга обработки персональных данных и их защиты.
Раздел 8. Контроль и надзор за соблюдением законодательства о персональных данных
- Система государственного контроля и надзора за обеспечением безопасности персональных данных.
- Порядок планирования, организации и проведения проверок.
- Права и обязанности проверяемых и проверяющих.
- Меры, принимаемые должностными лицами органа госконтроля (надзора) при выявлении фактов нарушений.
- Меры, принимаемые должностными лицами органа госконтроля (надзора) при выявлении фактов нарушений.
Раздел 9. Новый европейский регламент защиты персональных данных GDPR
- Цели принятия нового регламента и его основные отличия от ранее принятых документов.
- Применимость GDPR к деятельности российских компаний.
- Основные понятия регламента.
- Права субъекта данных.
- Требования GDPR к технической защите персональных данных.